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METHODE DE GESTION DE LA SECURiTE D'APPLICATIONS AVEC UN 

MODULE DE SECURITE. 

La presente invention concerne le domaine de la telephonie mobile appelee aussi 
t§lephonie cellulaire. Ella concerne plus particulierement la gestion de la securite des 
5 applications mises en oeuvre avec un module de securite associ§ k un ^quipement 
mobile de t6l6phonie mobile. 

Le module de securite d'un telephone mobile ou portable est connu sous Fappejlation 
"carte SIM" (Subscriber Identity Module) constituant T^l^ment central de la securite de 
ces t6l6phones. Uop§rateur de telephonie introduit, k la fabrication et/ou lors d'une 

10 phase de personnalisation, un num^ro appel§ IMSI (International Mobile Subscriber 
Identification) servant k identifier d'une mani^re sOre et unique chaque abonne desirant 
se connecter sur un reseau mobile. De plus, chaque telephone mobile, appele 
equipement mobile ci-apres, est identifie par un numero unique stocke dans une 
memoire non volatile de I'equipement mobile. Ce numero, appel§ IMEI, (International 

1 5 Mobile Equipment Identifier) sert k identifier un equipement mobile donnd sur un reseau 
du type GSM (Global System for Mobile communications), GPRS (General Packet 
Radio System) ou UMTS (Universal Mobile Telecommunications System). Le meme 
concept d*identification s'applique Sgalement au WLAN (Wireless LAN) ou au ckble TV 
bidirectionnel. Uidentifiant peut §tre une adresse MAG (Media Access Control) qui 

20 correspond a I'adresse unique identifiant la configuration du materiel d'un utilisateur sur 
un reseau. 

Les normes ETSI ("European Telecommunications Standards institute"), d6finissent 
une station mobile (MS, mobile station) compos6e d'un equipement mobile (ME, 
mobile equipment) et d'un module d'abonne (SIM, subscriber identity module). Ce 
25 module d'abonne est en general amovible c'est-^-dire qu'elle peut etre soit retiree soit 
transferee d'un equipement mobile k un autre. 

Lors de la mise en service d'un 6quipement mobile, plus particulierement lors de sa 
connexion au reseau d'un operateur, des informations comprenant les donn^es 
didentification sent §chang6es entre I'equipement mobile et le centre de gestion de 
30 rop6rateur qui autorise ou non son utilisation. Actuellement un Equipement mobile offre 
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k I'utilisateur, en plus de sa fonction usuelle cl'6tablissement de conversation: 
t6l6phoniques, I'utilisation de nombreux autres services suppl^mentaires tels que Is 
consultation de diverses informations, les operations bancaires a distance, U 
commerce 6lectronique, etc. Ces sendees §volu6s n6cessitent un niveau de s6curit§ di 
5 plus en plus §lev6 afin de pr^munir les utillsateurs centre les fraudes §ventuellei 
causSes par des tiers. 

Une v6rification devient done n6cessaire au moins k deux niveaux: d'une part au niveai 
de l'6quipement mobile lui-m§me et d'autre part k celui des applications logiciellej 
permettant le fonctionnement des diff^rents services proposes par I'opirateur ou pa 

10 des partenaires autorises. !l s'agit de garantir que le module d^abonn^ fonctionnc 
seulement avec un 6quipement mobile dOment autoris§ ou liomologu§ par I'op^rateu 
ou par r6metteur de carte. Par fonctionnement du module d'abonn^, on entend si 
capacit6 de permettre I'utilisation de sen/ices sollicit6s par un utilisateur en ex§cutar 
un certain nombre d'applications logicielles pr6alablement instances dans une m§moit 

15 de r6quipement mobile et qui se servent du module d'abonn6 comme moyen d( 
protection. 

Ces applications ex6cut6es dans l'6quipement mobile utilisent des ressource 
disponibles dans le module d'abonn6. Par ressources, on entend diverses fonctions « 
donn6es n6cessaires au bon fonctionnement d'une application. Certaines de c€ 
20 ressources peuvent §tre communes k plusleurs appfications, notamment les fonction 
\\§es a la s6curite. Le module d'abonne peut ainsi bloquer ou plutdt rendre lnutilisabl€ 
certaines applications dont les parametres de s6curite ou les droits de I'utilisateur soi 
insuffisants. 

Le but de la pr§sente invention est de proposer une mdthode de gestion de la s§curi 
25 de I'ensemble 6quipement mobile, module d'abonn6, applications afin de limiter le 
risques Ii6s au fait qu'un module d'abonn§ soit utilise a mauvais escient par d( 
appHcalions ex6cut6es sur un 6quipement mobile non autoris6 ou non liomologu§. 

Un autre but est de prot§ger I'utilisateur de I'equipement mobile ainsi que I 
foumisseurs d'applications concern6s centre les abus resultants d'un clonage i 
30 l'6quipement mobile et/ou du module d'abonnd. 
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Ces buts sont atteints par une method© de gestion de la securite d'applications 
fonctionnant dans un equipement mobile connecte a un r6seau, ledit reseau etant 
administre par le serveur de contrdle d'un operateur, lesdites applications utilisant des 
ressources stockees dans un module de s§Gurit§ relie localement audit Equipement 
5 mobile, cette m^thode comprenant les ^apes suivantes: 

• transmission au serveur de contr61e de donn6es comprenant ridentification de 
r6quipement mobile et celle du module de s6curit6, 

• analyse et verification par le serveur de controle desdites donnees, 

• generation d'un cryptogramme k parBr du resultat de la verification sur lesdites 
1 0 donnees, 

• transmission du cryptogramme, via le reseau, par le serveur de contrdle k 
r^quipement mobile, 

• transmission dudit cryptogramme par i'equipement mobile au module de s§curit§, 

• verification dudit cryptogramme par le module de sScuritd 

15 • liberation, respectivement blocage, de certaines ressources du module de securite 
selon le resultat de la verification du cryptogramme. 

Les ressources du module d'abonne sont bloquees de manidre cibiee, ceci dans le but 
de rendre certaines applications inutilisables. On ne bloque pas directement des 
applications de i'equipement mobile: on agit de manidre indirecte sur les applications, 
20 c'est-^-dire que Teffet de blocage va se manifester uniquement lorsque I'equipement 
mobile essaiera d'executer ces applications. 

Cette methode s'applique de preference k la teiephonie mobile. Par consequent, 
I'appareil est un equipement mobile teiephonique et le module de securite un module 
d'abonne. Get ensemble se connecte k un reseau mobile du type GSM (Global System 

25 for Mobile communications), GPRS (General Pacl^et Radio System), UMTS (Universal 
Mobile Telecommunications System), WLAN (Wireless Local Area Network) ou autre, 
gere par un sen^eur de contrdle d'un operateur. Des applications logicielles sont 
instaliees dans I'equipement mobile et configurees de maniere k utiliser des 
ressources (donnees ou foncb'ons) presentes dans le module d'abonne. Elles ne 

30 peuvent done etre utilisees dans leur integrite seulement si les conditions de securites 
sont satisfaites selon des criteres preetablis par I'operateur ou le fournisseur 
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d'applications. Cette verification des critdres est & la charge du module de s6curlt§ qu 
peut laisser libra ou bloquer I'accds k des ressources necessaires au bor 
fonctionnement d'une application installee dans l'6quipement mobile. 

Les donn§es de ces ressources peuvent comprendre des infomnations tels que num6r( 
5 de comptes, des programmes (sous forme de code pouvant §tre install^ danj 
r6quipement mobile), des cl§s d'encryption/d6cryption, des droits d'acces a di 
contenu, etc. 

Les fonclions de ces ressources peuvent comprendre des algorithmej 
cryptographiques, des processus de verification, des processus de generation de 
10 signatures digltales, des processus d'encryptage, des processus d'authentification 
des processus de validation de donn6es, des processus de contr6le d'acces, des 
processus de sauvegarde de donn§es, des processus de paiement etc. 

I 

Lb serveur de contrdle Joue un r6le essentiel en g§rant les elements de confiance ou dJ 
securfte lies k I'ensemble 6quipement mobile / module abonne. II interprete les donn6e: 
15 qui lui sont transmises par Pequipement mobile afin de contrGler ou limiter Tutilisatior 
d'applications, fonctions ou ressources disponibles au moyen du module d'abonne. 

Le serveur recevant les informations dldenBte d'un equipement mobile et de soi 
module d'abonne ©t comprenant I'lMEl et PIMSI decide, selon certains criteres, si urn 
nouvelle instruction doit §tre envoyee au module d'abonne pour red6finir un nouveai 

20 profil de protection d6finissant les ressources du module d'abonne pouvant §tr. 
utilisees par les applications executees dans i'equipement mobile. Les criteres peuver 
se reterer, par exemple, k la p6riode de mise k jour du profil de protection, au nombr 
de connexions au reseau, k la teclinologie utilis6e pour I'acces au reseau, I'identite d 
reseau d'accds utilise, lis sont egalement lies k differents risques associes au materi( 

25 ou aux logiciels utilises que l'op6rateur et/ou le fournisseur d'applications et/ou I'abonr 
desirent prendre en compte. 

La methode selon Hnvention s'execute g6neralement tors de chaque connexion d 
I'equipement mobile au r6seau. Seton une varlante, elle peut etre execute 
periodiquement k un rythme donne par le serveur de contrdle ou tors de chaqu 
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d^marrage d'une application sur I'^quipement mobile. Selon une autre variante, li 
module d'abonn§ ne va pas recevoir un nouveau message du centre de contrdle tar 
que le numero de l'6quipement mobile IMEI demeure Inchang6. 

Lors de I'enclenchement du module d'abonne, il est preferable de bloquer un certair 
5 nombre de ressources jusqu'^ I'arriv^e du cryptogramme. AInsi, si I'^quipement mobili 
veut intercepter le cryptogramme et ne pas le transmettre au module abonn§, tout oi 
partie des donn§es ou fonctions des ressources du module d'abonnS ne seront pas 
disponibles pour les applications ex6cut6es dans l'6quipement mobile. Selon le type d< 
realisation, il est possible que certaines ressources du module d'abonn6 utilis6es pai 
1 0 des applications d'un bas niveau de s6curit6, soient mises en fonction par d6faut avan 
rarriv6e du cryptogramme. Ceci est §galement le cas pour des ressources necessaires 
^ I'obtention de I'acc^s au r§seau, sans quoi renvoi du cryptogramme ne serait pas 
possible par ce meme r^seau. 

Lorsque le module d'abonn§ verifie la validite du cryptogramme, il identifie aussi de 
15 manidre indirecte l'§quipement mobile et s'assure que les donn6es viennent 
effectivement du serveur de contr6le. Autrement dit, par ce cryptogramme, le serveur de 
contrdle donne implidtement I'assurance au module d'abonn6 que I'identificateur de 
r^quipement mobile a 6t6 pris en compte avant de transmettre des Instructions au 
module abonn6. Ces derni^res sont, de ce fait, cliarg§es, le cas 6ch6ant, de donner ou 
20 refuser I'autorisation d'utilisation compete ou partielle des applications de I'^quipement 
mobile. 

L'6quipement mobile joue un r6le de relais dans cette 6tape de verification en 
6tablissant un dialogue quasi direct entre le module d'abonn§ et le serveur de contrdle. 
Ainsi la s§curit6 des messages ^changes est assuree de bout en bout entre le serveur 
25 de contrdle et le module d'abonn6 via i'environnement d'ex6cution des applications 
mises en ceuvre sur I'^quipement mobile. Celui-ci ne peut done pas "tricher" ou 
transformer les donn6es vis-^-vis du module d'abonn^. 

L'invention sera mieux comprise grace k la description detaillee qui va suivre et qui se 
r§f6re aux figures annexees donn§es ^ titre d'exemple nullement limitatif, k savoir: 
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La figure 1 illustre un schema bloc montrant les diff6rentes parties de 
l'6quipement mobile et du serveur mises k contribution lors de r§change des donn6es 
didentification et du cryptogramme. 

La figure 2 repr6sente un schema bloc de Pensemble 6quipement mobile / 
5 module abonn6 avec les interactions entre les differentes parties lors du fonctionnement 
d'une application. 

La figure 1 montre Tensemble 6qulpement mobile (CB) et module d'abonn6 (SIM) qui 
transmet via un r^seau mobile (NET) des donn§es tfidentification (ID) que le serveur de 
contrite (CSE) v6rifie. Ce dernier renvoie un cryptogramme (J) vers le module 

10 d'abonn6 via P6quipement mobile (CB). U6quipement mobile (CB) inclut une ou 
plusieure applications logicielles (APP) fondionnant dans un environnementd'ex6cution 
(AEE). Ces applications proviennent soit d'un fournisseur d'applications (FA) associ6 
au serveur de controle (CSE) de rop6rateur, soit elles sent programm6es d'oiigine pan 
le fabricant de r^quipement mobile. 

15 Le module d'abonn^ inclut des ressources (RES) utills6es par les applications 
logicielles (APP). 

U figure 2 montre que le fonctionnement des applications (APP) de I'^quipement 
mobile (CB) depend directement des ressources (RES) rfisponibles dans le module 
d'abonn6. En I'absence de ressources ad6quates, rapplication peut, soit ne pas 
20 d6marrer. soit fonctionner de fagon tres Iimit6e avec des paramMres par d6faul 
pouvant g6n6rer des messages d'erreur invitant Tutilisateur a accomplir des actions 
correctives n6cessaires comme changer dequipement mobile (CB) ou de module 
d'abonnS (SIM). 

L'§quipement mobile (CB) s'identifie. par exemple lors de chaque requ§te dc 
25 connexion au r6seau. au serveur de contrdle (CSE) via le reseau mobile (NET) en 
transmettant de pr6f6rence un code propre k un 6quipement mobile: IMEI (Intemations 
Mobile Equipment Identity) et un code propre k un module d-abonn^: IMSI (Intemations 
Mobile Subscriber Identity). Le premier num6ro IMEI est une suite de 15 chiffr© 
contenant notamment un code d'homologatlon du fabricant de I'^quipement mobile e 
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un numero de s6rie definissant requipement mobile telephonique de maniere unique. 
Le second numero IMSI est aussi une suite de 15 chiffres et comprend un code attribue 
par rop§rateur aupres duquel un utilisateur a souscrit un abonnement pemnettant 
d'identifier un abonnS de maniere unique. 

5 Lors de {'identification d'un 6quipement mobile, le serveur de controle (CSE) analyse et 
v^rifie les donnees (ID) transmises en les confrontant avec le contenu d'une liste noire 
(donnSes k rejeter) ou d'une liste blanche (donn§es acceptees). Une base de donnees 
permet d'affiner, si nScessaire, Tidentification d'un abonn§ et de determiner ses 
particularit§s telles que services autoris6s, paiements de I'abonnement et/ou des 

10 services effectuds ou non, p^riode d'abonnement profil de s6curit6 associd k 
requipement mobile utilise, etc. Les r6sultats de cette verification sont ensuite utilises 
dans le but de determiner un cryptogramme, appel§ jeton (J), que le serveur de controle 
(CSE) transmet a Pequipement mobile (CB). II est a noter que le serveur de contr6le 
(CSE) peut etre distinct de Top^rateur mobile et la requ§te provenant d'un ^uipement 

1 5 mobile sera acheminde vers cette autoritS de contrdle. 

Uenvironnement d'execution d'applications (AEE) de requipement mobile (CB) 
transmet le jeton (J) tel quel, sans I'alt^rer, au module d'abonn6, requipement mobile 
(CB) jouant un rdle de relais uniquement 

Si le jeton (J) est valable, le module d'abonne peut liberer, respectivement bloquer 
20 certaines ressources (RES). La ou les applications (APP) peuvent ainsi s'executer 
selon les criteres imposes par le serveur de contrdle (CSE). En effet, le jeton (J) inclut 
ou est accompagne d'instructions particulieres k destination du module d'abonn^ qui 
peuvent conditionner le fonctionnement de Tune ou Fautre des applications (APP) de 
requipement mobile (CB). Par exemple {'execution de transactions financleres peut 
25 §tre Iimit6e lorsque rabonn6 se trouve etre connects a un autre reseau que celui aupres 
duquel il est abonne, par exemple dans un pays different de celui de son domicile 
(roaming) en raison de certains criteres de security ou de preferences de I'abonne ou 
de preferences du fournisseur du service financier ou de contraintes legales en vigueur 
dans le pays en question. Dans un autre cas, lorsqu'un module d'abonne est insure 
30 dans un equipement mobile (CB) non reconnu par rop^rateur, le jeton (J) retourne par le 
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serveur de controle (CSE) peut bloquer des ressources (RES) du module d'abonn^ et 
de ce fait emp§cher, rex§cution de ou des applications (APP). 

Dans le cas d'un possible clonage de I'^quipement mobile (CB) eVou du module 
d'abonn6, les r6sultats de la verification avec la base de donn6es comporteront des 
5 instructions dependant des risques que I'operateur accepte de prendre avec dej 
telephones mobiles clones. Par exemple, le jeton (J) genere en consequence peut soi 
bloquer toutes les ressources (RES) du module d'abonne, soit limiter leur utilisation 
dans le temps et/ou creer un message d'avertissement k I'abonne via Tenvironnemenr 
d'execution des applications (AEE). 

10 Le jeton (J) peut §tre par exemple associe ^ une signature gen6ree k I'aide d'une cl^ 
privee RSA, (RIvGSt, Shamir, Adelman) KksA.w ^ parlir d'un ensemble de donnees 
contenant, par exemple, I'IMSI, I'iMEl, les references des ressources du moduU 
d'abonne, un compteur. Cette cie ne serait connue que du serveur de contrSle, alors 
que sa partie publique KpsA.pub serait connue du module d'abonne. L'avantage d€ 

1 5 I'utilisation de des asymetriques reside en ce que la cie servant ^ creer des signaturei 
ne se trouve pas ^ I'exterieur du serveur de contrdle (CSE). 

Bien entendu, d'autres algorithmes k cies asymetriques tels que par exemple DSA 
(Digital Signature Algorithm), et ECC (Elliptic Curve Cryptography) peuvent constitue 
des alternatives k RSA. 

20 L'usage d'algorithme a cles symetriques peut dtre prefere pour des raisons d< 
simplicite, de rapidite des verifications ou de couts de fabrication et de mise en oeuvn 
plus faibles. Dans ce cas, la cl6 serait connue du serveur (CSE) et du module d'abonne 
par exemple un algorithme IDEA (International Data Encryption Algorithm) pourrait etn 
utilise pour signer I'ensemble (IMSI, IMEI, references des ressources da le module 

25 d'abonne, compteur). Comme alternative k I'algorithme IDEA, des algorithmes tels que 
par exemple, TDES (Triple Data Encryption Standard) et AES (Advanced Encryptior 
Standard) peuvent aussi etre utilises. 

Dans ces deux variantes k cies asymetriques et symetriques, le module d'abonne 
verifie la concordance des differents champs apparaissant dans le jeton (J), notammer 



elle contrSle le compteur (CPT) en le comparant avec un compteur correspondant 
memorise dans la carte qui est regulierement maintenu a jour. Ce compteur permet 
d'§viter le double usage d'un m§me jeton (J) adresse au module d'abonne afin 
dempecher une attaque par r§p§tition (replay attack). 

5 Une variante au compteur est d'utiliser un al§a (nombre aleatoire) genere par le module 
d'abonne. Cet alea est transmis avec les donnees envoy^es au serveur de contrdle. Ce 
dernier renvoie cet al§a dans le cryptogramme de reponse et le module d'abonn^ peut 
v6rifier qu'il s'agit bien d'un nouveau message. Plus g6n§ra!ement, afin d'§viter tout 
risque tfusage d'un ancien cryptogramme, ce dernier comprend une variable 
1 0 pr§dicb'ble par le module d'abonn§, soit un compteur ou un alea. 

Le module d'at>onn6 consid§re aussi les r^f^rences des ressources (RES) dont il 
autorise ou non Tutilisation par les applications executdes dans r^quipement mobile 
(CB). 

Le module d'abonn§ ne connaTt pas en tant que telle les references d'applications 
15 (APR) instances dans I'^quipement mobile. En effet, certaines applications plus 
globales poss^dent une interface relativement ouverte qui leur permet d'etre utilis^es 
par n'importe quelles applications secondares externes. Par exemple, sur une 
application generale de paiement peuvent se greffer des applications particulieres en 
fonction du mode de paiement utilise. Le module d'abonne ne peut se baser que sur les 
20 references de ses propres ressources (RES) (donn§es ou fonctions). En acceptant les 
risques li^s k un equipement mobile, Top^rateur fait un choix en sachant quelles 
ressources (RES) du module d'abonne sont utilis§es par quelle(s) application(s) (APP) 
ex#cut6es dans I'Squipement mobile (CB). 

Dans une autre variante la signature faite k I'aide d'une cl§ du type RSA ou IDEA peut 
25 3tre remplac^e par un bloc Q6n6r6 avec une cl6 partag^e HMAC (Keyed-Hashing for 
Message Authentication) k partir de I'ensemble (IMSI, IMEI, r^f§rences de ressources 
du module d'abonn§, compteur). HMAC est un m6canisme pour Tauthentification de 
messages par I'utilisation de fonctions de hachage cryptographiques telles que MD5 
(Message Digest) ou SHA-1 (Secure Hash Algorithm), en combinaison avec une cl§ 
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partagee c"est-a-dire que la m§me cle se trouve dans le serveur de contrfile (CSE) e 
dans le module d'abonn^. 

Cette cl6 pr6sente k la fols dans le serveur de contrdle (CSE) et dans le module 
d'abonne peut etre charg§e lors de la person nalisation du module d'abonn§ ou lors d€ 
5 I'installation de certaines ressources dans le module d'abonne. Selon les options, g 
chaque ressource ou groupe de ressources du module d'abonne peut §tre associ^e 
une cl6 diffdrente, ou la cl§ peut §tre globale pour {'ensemble des ressources et unique 
pour un module d'abonnd donn^. 

Pour plus de s6curit6, lorsque le module d'abonn6 a regu un jeton (J), il peu 
1 0 refransmettre au serveur de contrdle (CSE), via I'^quipement mobile (CB) et le reseat 
mobile (NET), un message de confirmation (CF) attestant la bonne reception et le 
traitement ad6quat du jeton (J) par le module d'abonn6. La confirmation (CF) comprenc 
au moins un code de succds ou d'erreur de {'operation ainsi qu'un compteur, similaire i 
celui du jeton (J), servant a la protection centre les attaques par r6p6tition. Ce message 
15 permet aussi au sen/eur de contrdle (CSE) de tenir k jour le compteur associ§ au 
module d'abonn§. 

Dans une variante de I'invention, I'equipement mobile peut §tre remplace par ur 
appareil non mobile tel qu'un d§codeur de t§l§vision k p^age ou un ordinateur. Le 
serveur de contrdle regoit de la part d'un module de security, I'^quivalent du module 
20 d'abonn^, I'identifiant de I'appareil connects au r§seau et I'identifiant du module de 
sScurit^. En r^ponse, le serveur effectue les verifications telles que ddcrites plus haut & 
renvole un cryptogramme au module de s§curit6. Cette r^onse va lib^rer ou bloquei 
des ressources dans le module de sdcuritd. 
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REVENDICATIONS 

1 . M§thode de gestion de la s6curit§ d'applications (APP) fonctionnant dans un 
appareil (CB) connecte a un reseau (NET), ledit reseau etant connecte a un serveur de 
controle (CSE), lesdites applications utilisant des ressources (RES) stockees dans un 
module de securite (SIM) relie localement audit appareil (CB), cette methode 
comprenant les §tapes suivantes: 

• transmission au serveur de contrdle (CSE) des donnees (ID) comprenant 
ridentiftcation de I'appareil (IMEI) et Tidentification (IMSI) du module de s6curit6, 

• analyse et v6rification par le serveur de contrflle (CSE) desdites donnees (ID), 

• generation d'un cryptogramme (J) dont la teneur depend du r§sultat de la verification 
sur lesdites donnees, 

• transmission du cryptogramme (J) par le serveur de controle (CSE) k Tappareil (CB), 

• transmission dudit cryptogramme (J) par I'appareil (CB) au module de security 
(SIM), 

• verification dudit cryptogramme (J) par le module de s6curit6 (SIM), 

• liberation, respectivement blocage, de certaines ressources (RES) du module de 
s6curit6 (SIM) selon le r^sultat de la verification du cryptogramme (J). 

2. Methode selon la revendication 1 , caracterisee en ce que I'appareil (CB) est un 
equipement mobile de teiephonie mobile. 

3. Methode selon la revendication 2, caracterisee en ce que le reseau est un 
reseau mobile du type GSM, GPRS ou UMTS ou WLAN. 

4. Methode selon les revendications 2 et 3, caracterisee en ce que le module de 
securite (SIM) est un module d'abonne insere dans requipement mobile de teiephonie 
mobile de type carte SIM. 

5. Methode selon les revendications 1^4, caracterisee en ce que I'identification 
de I'ensemble equipement mobile / module d'abonne (SIM) est effectuee k partir du 
numero ^identification unique de requipement mobile (IMEI) et du numero 
^identification du module d'abonne (IMSI) propre k un abonne au reseau mobile. 
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6. M6thode selon la revendication 1 caract6ris§e en ce que le cryptogramme (j; 
regu par le module de s6curit6 (SIM) conditionne I'utHisation des ressources (RES) dL 
module de s6curit§ (SIM) par les applications (APP) ex6out6es dans I'^quipemenl 
mobile (CB) selon des cr'rtdres pr66tablls par I'op^rateur et/ou le fournisseu 
d'appllcatlons el/ou i'abonn^. 

7. M6thode selon la revendication 6, caract6ris6e en ce que les entires d6finissen 
des limites d'utillsatlon d'une application (APP) selon des risques associ6s au loglcie 
de ladite application (APP) ou au materiel de l'6quipement mobile que l'op§rateur eVoi 
le fournisseur d'applications et/ou rabonn6 d§sirent prendre en compte. 

8. M6thode selon les revendicalions 1^7, caract6ris6e en ce qu'elle s'ex6cute lor£ 
de chaque connexion de I'^uipement mobile au r^seau. 

9. M6thode selon les revendications 1 a 7, caract6ris6e en ce qu'elle s'ex6cute 
periodiquement k un rythme donn§ par le serveur de contrdle. 

1 0. M6thode selon les revendications 1 k 7, caract§ris§e en ce qu'elle s'ex§cute lors 
de chaque ddman-age d'une application sur l'6quipement mobile. 

1 1 . Methode selon Tune des revendications pr§c6dentes, caract§ris§e en ce que l€ 
module d'abonn§ (SIM), pr§alablement a I'execution des instructions donn§es par le 
cryptogramme (J), compare lldentlfiant de l'6quipement mobile (IMEI) avec celu 
pr6c6demment regu et initie l'op6ration de verification seulement si I'identifiant (IMEI) i 
change. 

1 2. M§thode selon Tune des revendications pr6c6dentes, caract§ris§e en ce que l< 
sen^eur de contrdle (CSE), pr6alablement k la transmission du cryptogramme (J) 
compare I'identifiant de l'6quipement mobile (IMEI) avec celui pr6c6demment regu e 
initie rop6ration de verification seulement si I'identifiant (IMEI) a change. 

13. Methode selon les revendications 1 ^ 12, caract6risee en ce que li 
cryptogramme (J) est constltue par un message encrypte par le serveur de contrdk 
(CSE) k I'aide d'une cl6 d'encryption asymetrique ou symettique k partir d'un ensembl 
de donnees contenant, entre autres donn6es, le numero dldentification unique d< 
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requipement mobile (IMEI), le numero ^identification du module d'abonne (IMS!), des 
references de ressources (RES) du module d'abonne (SIM) et une variable predictible 
(CPT). 

14. Methode selon les revendications 1 a 13 caracterisee en ce que le module 
d'abonne transmet au serveur de controle (CSE), via Tequipement mobile (CB) et le 
reseau mobile (NET), un message de confirmation (OF) lorsque le module abonnS 
(SIM) a regu le cryptogramme (J), ledit message attestant la bonne reception et le 
traitement adequat du cryptogramme (J) par le module d'abonn6 (SIM). 

15. Methode selon la revendication 1, caracterisee en ce que i'appareil est un 
dScodeur de tdl6vision k p^age ou un ordinateur auquel est connects le module de 
s6curit§. 

16. Module de security comprenant des ressources (RES) destinees a etre 
localement accedees par un appareil (CB) re\\6 a un reseau, ce module comprenant 
des moyens de lecture de lldentifiant (IMEI) de I'appareil (CB) et des moyens pour 
transmettre un message comprenant i'identifiant (IMEI) de I'appareil et I'identifiant (IMSI) 
du module de security, caract6ris6 en ce qu'il comprend des moyens pour recevoir un 
cryptogramme (J) contenant des informations permettant de lib§rer ou bloquer 
certaines ressources (RES). 

1 7. Module de s6ourit6 selon la revendication 1 6, caract6ris§ en ce qu'il est du type 
"carte SIM" destin§ ^ §tre relie a un equipement mobile. 
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ABREGE 



Le but de la pr6sente invention est de proposer une m6thode de gestion de la s§curlt§ 
tfapplications instates dans un appareil afin de limiter les risques ri§s au fait qu'un 
module de s§curit6 soit utilise a mauvais escient par un appareil non autoris6 ou non 
homologu§. 

Ce but est atteint par une methode de gestion de la s6curit6 d'applicatlons avec un 
module de s6curit6 ins6r6 dans un appareil connects a un r§seau, ledit r6seau 6tant 
connect k un serveur de controle d'un op§rateur de r6seau, lesdites applications 
instances dans une m6moire de I'appareil utillsent des ressources, constituees de 
donn6es ou de fonctions, stock^es dans le module de s6curit§, cette m6thode est 
caract6ris6e en ce qu'elle comprend les §tapes suivantes: 

. reception de donnees comprenant ridentificalion de I'appareil et celle du module de 
s§curit6, via le r6seau, par le serveur de contrdle. 

• analyse et verification par le serveur de controle desdites donn6es, 

. generation d'un cryptogramme ^ partir du r^sultat de la verification sur lesdites 

donnees, 

. transmission du cryptogramme, via le reseau. par le serveur de contr6le k I'appareil. 

• transmission dudit cryptogramme par I'appareil au module de securite. 

• verification dudit cryptogramme par le module de securite 

. liberation, respectivement blocage, de certaines ressources du module de securite 
selon le resultatde la verification du cryptogramme. 
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